第11章IT软件项目风险管理.ppt.ppt

第11章 IT软件项目风险管理,11.1 风险与风险管理 11.2 软件项目风险识别11.3 软件项目风险评估11.4 软件项目风险控制11.5 风险管理策略11.6 风险驾驭和监控,2023/3/6,辽宁工程技术大学 软件学院,1,第11章 IT软件项目风险管理,本章要点:风险的定义、性质、分类风险的识别和分析风险的应对策略风险规划风险控制规避、转移,Page 2,11.1 风险与风险管理,11.1.1 风险的基本概念11.1.2 风险分类11.1.3 风险成本11.1.4 风险管理的基本概念,2023/3/6,辽宁工程技术大学 软件学院,3,引例1,思考：一次重要的汽车旅行,其中按时到达是重要的（可能是一次重要的工作访谈）。试考虑旅行中可能遇到的问题。,Page 4,异常严重的交通堵塞,车胎没气,汽车故障或事故,可能错过访谈的开始时间,可能错过访谈或迟到,可能错过访谈,收听交通广播计划另一条线路,准备可用备用车胎,无,引例2,项目：构建全球人力资源综合管理系统条件：系统由两个软件开发商共同开发，最后集成。开发过程由客户提供专门供项目使用的工具，但不久以后该工具就发行了新版本。其中一个开发团队是一个良好的团队，项目经理对软件开发做了合理的估算，团队共有35人，在规定时间内交付了自己开发的部分软件。另一个开发团队未能按时完成开发，并且提供的接口不断改变。结果：该系统晚了6个月才正式投入使用，开发公司支付了项目50%工作量的蔓延。,Page 5,Boehm的风险工作任务分解,Page 6,风险工程,风险分析,风险管理,风险标识,风险估计,风险评价,风险策划,风险控制,风险监督,风险指导,风险人员配置,11.1.1 风险的基本概念,1风险和软件风险的定义风险的定义狭义和广义狭义的风险是指“可能失去的东西或者可能受到的伤害”，即在从事任何活动时可能面临的损失。广义的风险是指一种不确定性，即风险带来的不都是损失，也可能存在机会。,Page 7,1风险和软件风险的定义（续）,软件风险的定义软件风险是指软件开发过程中及软件产品本身可能造成的伤害或损失。一个软件项目的损失可能的后果形式？软件质量的下降成本费用的超出项目进度的推迟等风险的本质不确定性和损失。,Page 8,思考：编写学生成绩管理系统,2风险因素,风险因素是指能够引起风险事件发生或者增加风险事件发生机会或影响损失严重程度的因素，是造成损失的内在或者外在的原因。例如：需求的变化、设计错误、疏漏和理解错误、狭隘定义或理解错误、不充分估计、不胜任的技术人员等等，都是风险因素。,Page 9,风险具有哪些基本性质呢？,3风险的基本性质,（1）客观性首先，风险的存在是不以人的意志为转移的；其次，风险无时不有，无所不在，它潜在各种活动之中。因为决定风险的各种因素对风险主体是独立存在的，不管风险主体是否意识到风险的存在，在一定的条件下风险就可能变为现实。,Page 10,3风险的基本性质（续1）,（2）不确定性风险是损失的不确定性，其不确定性包括：发生与否不确定；发生的时间不确定；发生的状况不确定；发生的结果不确定。风险是一种概率事件,它可能发生也可能不发生,Page 11,3风险的基本性质（续2）,（3）不利性风险一旦产生时，就会使风险主体产生挫折、失败甚至损失，对风险主体不利。对于风险的不利性，我们该怎么办？首先，承认风险、识别风险，对风险做出客观准确的分析其次，做好风险的应对措施，尽可能避免风险，将风险的不利性降到最低。,Page 12,3风险的基本性质（续3）,（4）可变性风险的可变性表现为风险在一定条件下可以相互转化,Page 13,风险事件,非风险事件,转化条件,3风险的基本性质（续4）,（5）相对性风险的相对性是针对风险的主体而言的，在相同的风险情况下，不同的风险主体对风险的承受能力不同，不同的组织和个人往往对风险有着不同的容忍限度。例如，一个高利润高收益的公司也许愿意为一个10亿美元的合同花费50万美元制作一份计划书，而一个收支相抵的公司通常不会。一个公司也许认为15%的误差几率是高风险的，而其他公司却认为这个几率风险很低。,Page 14,3风险的基本性质（续5）,（6）风险和利益的对称性风险和利益是同时存在的，风险是利益的代价，利益是风险的报酬。没有利益只有风险，没人会做；实现利益必须承担一定的风险。,Page 15,思 考,Page 16,风险有哪些种类呢,11.1.2 风险的分类,（1）根据风险范围不同，可将风险分为三类：项目风险、技术风险和商业风险 项目风险项目风险是指由于潜在的预算、进度、个人（包括人员和组织）、资源、用户和需求等方面的问题而导致的风险。例如：资金不足、时间和资源分配的不合理、项目计划质量的不足、项目管理不当、缺乏必要的项目优先级等均可导致项目风险的发生。,Page 17,4风险的分类（续1）,技术风险 技术风险是指由于潜在的设计、实现、接口、检验和维护等方面的问题而导致的风险。例如规格说明的二义性、技术上的不确定性、技术陈旧等可能导致技术风险的发生。复杂的开发技术、行业标准发生变化等也可能导致技术风险的发生。,Page 18,4风险的分类（续2）,商业风险主要有市场风险、策略风险、管理风险和预算风险等。例如市场风险：开发的软件不是市场真正所想要的。策略风险：开发的软件不再符合公司的软件产品策略。管理风险：由于对项目管理不当等问题而导致的风险，例如：进度计划制定和资源配置不合理、计划草率且质量控制差等。预算风险：没有得到预算或者人员的保证。,Page 19,4风险的分类（续3）,（2）根据风险内容不同，可将风险分为四类：技术风险、管理风险、组织风险和外部风险组织风险组织风险是指开发管理组织对项目认识的不确定性问题而导致的风险。例如组织内部对目标未达成一致；高层对项目不重视，资金不足；项目组织的人员结构不合理或者与其他项目有资源冲突等，都是潜在的组织风险。,Page 20,4风险的分类（续4）,外部风险外部风险是指外部事件和外部环境等不可控制因素的变化问题而导致的风险。例如法律法规的变化与项目相关各方的情况发生变化等。,Page 21,4风险的分类（续5）,（3）根据风险可预知程度不同，可将风险分为三类：已知风险、可预测风险和不可预测风险已知风险已知风险是指通过仔细评估项目计划、开发项目的商业和技术环境以及其他可靠的信息来源之后可以发现的风险。例如：不现实的交付时间、没有需求或软件范围的文档、恶劣的开发环境等。,Page 22,4风险的分类（续6）,可预测风险可预测风险是指能够从过去项目的经验中推测出的风险。例如：人员调整与客户之间无法沟通或沟通不畅由于需要进行维护而使开发人员精力分散等等。,Page 23,4风险的分类（续7）,不可预测风险不可预测风险是可能、也会真的出现、但事先很难识别出来的风险。例如：突发性的灾难事件，不可抗力事件等通常将不可控制的“不可抗力事件”不作为风险对待，这些事件往往作为灾难防御。,Page 24,项目管理者只对已知风险和可预测风险进行规划，不可预测的风险只能靠企业的能力来承担。,思 考,Page 25,风险管理是否需要费用呢,11.1.3 风险的成本,风险成本：指为防止风险的发生或者减少风险发生时造成的损失，而必须采取一些预防措施和应对策略时所产生的费用。风险成本包括有形成本、无形成本以及为预防和控制风险所发生的费用。风险管理是要付出代价的，一般只有当风险的不利后果（损失）超过风险管理而付出的代价时，才进行风险管理。,Page 26,思考：项目都存在风险，所以必须进行风险管理。对吗？,5风险的成本（续1）,（1）有形成本风险的有形成本是指风险发生时所付出的有形的可以用货币直接来衡量的代价。风险的有形成本包括风险发生时造成的直接损失和间接损失。直接损失：指风险发生时，人员、经费、设备等的直接流失；间接损失：指风险发生时，直接损失以外的人、财、物、知识等的损失。,Page 27,5风险的成本（续2）,（2）无形成本风险的无形成本是指由于风险所具有的不确定性而使项目在风险发生时所付出的无形代价。主要表现在以下几个方面：风险的发生减少了项目成功的机会；风险阻碍了生产率的提高和新技术的应用；风险会造成资源分配的不当，使人们将更多的资源投入到风险较小的行业或者项目中。,Page 28,5风险的成本（续3）,（3）为预防和控制风险所发生的费用指为了预防和控制风险的发生与损失，必须在项目的各个阶段采取必要的预防措施而产生的费用。例如在项目的前期阶段增加人力资源和经费的投入向保险公司投保向有关部门或者专家咨询合理分配资源配备合适和必要的人员购置用于预防和控制风险的设备加强人员培训等，这些活动都需要经费的支持。,Page 29,想一想,Page 30,什么是风险管理？,风险管理的重要意义？,11.1.4 风险管理的基本概念,（1）风险管理风险管理是指在项目进行过程中不断对风险进行识别、评估，制定策略，监控风险的过程。通过风险识别、风险分析和风险评价去认识项目的风险，并以此为基础合理地使用各种风险应对措施、管理方法、技术和手段对项目的风险进行有效的控制，妥善处理风险事件造成的不利后果，以最小的成本保证项目总体目标的实现。,Page 31,（2）风险管理的意义,风险管理是软件项目中减少失败的一种重要手段。当不能很确定地预测未来事情时，可以采用结构化风险管理来发现计划中的缺陷，并且采取行动来减少潜在问题发生的可能性和影响。风险管理意味着危机还没有发生之前就对它进行处理，提高了项目成功的机会，减少了不可避免风险所产生的后果。,Page 32,（2）风险管理的意义（续1）,风险管理可以防止问题的出现，即使出现问题，也可以降低其危害程度。只有进行良好的风险管理才能有效地控制项目的成本、进度、产品需求，同时可阻止意外发生。,Page 33,（2）风险管理的意义（续2）,风险管理是主动管理风险。主动管理策略是在技术工作开始之前就已经启动了风险管理，标识出潜在的风险，评估它们出现的概率及产生的影响，对风险按重要性进行排序，然后建立一个风险管理计划。主动风险管理策略的目标是预防风险。但是，因为不是所有的风险都能够预防，所以必须建立一个应付意外事件的计划，使其在必要时能够以可控的及有效的方式做出反应。,Page 34,导读,Page 35,风险管理的第一步,风险识别,11.2 软件项目风险识别,风险识别是试图系统化地确定对项目计划（估算、进度、资源分配）的威胁，识别已知和可预测的风险。风险识别是风险管理的基础和起点，也是风险管理者首要的或许是最困难的一项的工作。,Page 36,1风险识别的任务和意义,风险识别的任务：查明项目的不确定因素，确认项目所面临的风险及其来源，确定各种风险的性质，分析可能发生的损失及可能带来的机会等。风险识别的意义：如果不能准确地辩明所面临的各种风险，就会失去切实地处理这些风险的机会，从而使得风险管理的职能得不到正常的发挥，自然也就不能有效地对风险进行控制和处理。,Page 37,2风险识别的过程,风险识别不是一次性行为，而应有规律地贯穿在整个项目开发过程中。每一类风险可以分为两种不同的情况一般性风险和特定性风险。一般性风险对每一个软件项目而言都是一个潜在的威胁。特定性风险是对当前项目的技术、人员及环境而言的威胁。,Page 38,2风险识别的过程（续1）,风险识别是识别内在风险和外在风险。内在风险是指项目工作组能够加以控制和影响的风险，如人事任免和成本估计等。外在风险是指超出项目工作组控制能力和影响力之外的风险，如市场转向或政府行为等。项目风险识别的实现：通过对“因”和“果”（将会发生什么和导致什么等）的认定来实现。通过对“果”和“因”（什么样的结果需要予以避免或促使其发生以及怎样发生等）的认定来实现。,Page 39,2风险识别的过程（续2）,风险识别的输入：项目的工作分解结构、项目相关信息、项目计划的假设、历史项目数据，其他项目经验文件、评审报告、公司目标等；标识风险：利用风险识别方法来标识风险；风险分类排序：按一定标准（如重要程度）对风险进行分类和排序；风险识别的输出：风险列表。,Page 40,输入：WBS及相关信息,输出：风险列表,标识风险,评审风险,风险分类排序,思 考,Page 41,风险识别的方法？,3风险识别的方法,风险识别的常用方法主要有：风险条目检查表法德尔菲方法头脑风暴法情景分析法面谈法等。,Page 42,（1）风险条目检查表法,风险条目检查表法是利用一组提问来帮助管理者了解项目在各个方面有哪些风险。在“风险条目检查表”中，列出了所有可能的与每一个风险因素有关的提问，使得风险管理者集中来识别常见的、已知的和可预测的风险（如产品规模风险、依赖性风险、需求风险、管理风险及技术风险等）。,Page 43,（1）风险条目检查表法（续1）,1）产品规模风险检查表项目风险是直接与产品规模成正比的。估算产品规模的方法：LOC代码行、FP功能点、程序或文件的数目估算产品规模的信任度估算产品规模与以前产品的规模的平均值的偏差百分比估算产品创建或使用的数据库大小估算产品的用户数估算产品的需求改变数估算产品复用的软件数,Page 44,（1）风险条目检查表法（续2）,2）商业影响风险检查表估算产品对公司收入的影响估算产品得到公司高级管理层重视的程度估算产品交付期限的合理性估算产品的最终用户的水平估算产品必须能与之互操作的其他产品/系统的数目估算政府对本产品开发的约束估算产品延迟交付所造成的成本变化估算产品缺陷所造成的成本变化,Page 45,（1）风险条目检查表法（续3）,3）需求相关风险检查表对产品缺少清晰的认识。对产品需求缺少认同。在需求调研和分析过程中客户参与不充分。需求没有区分优先级。不确定的需要。新的市场不断变化需求。缺少有效的需求变化管理过程。对需求的变化缺少相关分析。如果对于这些问题中的任何一个问题的答案是肯定的，则需要进一步的研究，以评估潜在的风险。,Page 46,（1）风险条目检查表法（续4）,4）技术风险检查表项目组员工缺乏培训。项目组对软件方法、工具和技术理解不充分。项目组应用领域的经验不足。项目过程中引入新的技术和开发方法。项目组的工作方法不正确或者不合适。如果对于这些问题中的任何一个问题的答案是肯定的，则需要进一步的分析和确认，说明存在潜在的技术风险。,Page 47,（1）风险条目检查表法（续6）,5）管理风险检查表计划和任务定义不够充分。实际项目状态不明晰。分不清项目所有者和决策者，或者责任不明。不切实际的承诺。员工之间的冲突等。如果对于这些问题中的任何一个问题的答案是肯定的，则需要进一步的分析和确认，以评估潜在的管理风险。,Page 48,（1）风险条目检查表法（续7）,6）相关性风险检查表客户、供应商及其信息。客户、供应商之间的沟通。内部或者外部转包商之间的关系。协作成员或者团体之间的依赖性。经验丰富人员的可获得性。项目的复用性。,Page 49,（2）德尔菲方法,德尔菲方法又称专家调查法德尔菲方法是由项目风险小组选定与该项目有关的领域专家，并与这些适当数量的专家建立直接的函询联系，通过函询收集专家意见，然后加以综合整理，再匿名反馈给各位专家，再次征询意见。反复经过四至五轮，逐步使专家的意见趋向一致，作为最后预测和识别的根据。,Page 50,（3）头脑风暴法,头脑风暴法是以专家的创造性思维来获取未来信息的一种直观预测和识别方法。头脑风暴法一般是在一个专家小组内进行，通过专家会议，诱发专家们产生“思维共振”，以达到互相补充并产生“组合效应”，即激发专家的创造性思维来获取更多的未来信息，得到更准确的预测和识别的结果。,Page 51,（4）情景分析法,情景分析法是根据项目发展趋势的多样性，通过对系统内外相关问题的系统分析，设计出多种可能的未来前景，然后用类似于撰写电影剧本的手法，对系统发展态势做出自始至终的情景和画面的描述。假定关键影响因素有可能发生的基础上，构造多重情景，提出多种未来的可能结果，以便采取适当措施防患于未然。,Page 52,（4）情景分析法（续1）,情景分析法是一种适用于对可变因素较多的项目进行风险预测和识别的系统技术。情景分析法主要用于以下情况：提醒决策者注意某种措施或政策可能引起的风险或危机性的后果；建议需要进行监视的风险范围；研究某些关键性因素对未来过程的影响；提醒人们注意某种技术的发展会给人们带来哪些风险。,Page 53,（5）分解分析法,2023/3/6,辽宁工程技术大学 软件学院,54,分解分析法就是将大系统分解成小系统，将复杂的事物分解成简单的易于认识的事物，从而识别风险及其潜在损失的方法。例如：要开发一个软件产品，其风险可以分解为经济风险、市场风险、技术风险、人力资源风险、环境风险等。对于其中的每一个风险又可进一步分解。如市场风险可以分解成几个方面来考虑：产品质量和价格的竞争力；其他软件供应商同类产品的数量或更新产品出现的时间及数量；市场对该软件产品的需求；销售地区及其产品偏好等。分解分析法也可以用于对风险事件成因的分析。多以绘制故障树的方式进行图解，使可能的风险因素一目了然，易于辨认。,分解分析法实例,2023/3/6,辽宁工程技术大学 软件学院,55,图11.1 交付系统故障树,4风险识别的结果,风险识别的结果可以是一个风险清单表，如下：,Page 56,5风险识别的注意事项,现场观察。风险管理者必须亲临现场，直接观察现场的各种设施的使用和运行情况，以及环境条件情况。通过对现场的考察，风险管理者可以更多地发现和了解项目面临的各种风险，有利于更好地运用上述方法对风险进行识别。与项目其他团队密切联系和配合。风险管理者应该与本项目的其他团队保持密切联系，及时交换意见，详细了解各个团队的活动情况。除了从其他团队听取口头报告和阅读书面报告外，还应与项目的负责人、专家和小组成员广泛接触，以便及时发现在这些团队的各种活动中可能存在的潜在损失。做好资料保管工作。风险管理者应注意将从各方面收集到的资料进行分类，妥善保存，这有助于项目风险管理的决策与分析。,2023/3/6,辽宁工程技术大学 软件学院,57,应该注意以下一些事项：,导读,Page 58,风险管理的第二步,风险评估,11.3 软件项目风险评估,11.3.1 风险评估概念11.3.2 建立风险条目清单11.3.3 风险评估11.3.4 估计损失的大小11.3.5 估计损失的概率11.3.6 风险评估的方法,2023/3/6,辽宁工程技术大学 软件学院,59,11.3.1 风险评估概念,风险评估，又称风险预测，是对识别出的风险做进一步分析，对风险发生的概率进行估计和评价，对风险后果的严重程度进行估计和评价，对风险影响范围进行估计和评价，以及对于风险发生时间进行估计和评价。,Page 60,风险评估的概念（续）,通常将风险评估的结果用风险发生的概率以及风险发生后对项目目标的影响力来表示。风险的影响力是指风险发生后对项目的工作范围、时间、成本、质量等方面的影响。风险发生的概率可以用数学模型、统计方法和人工估计方法建立及分析。,Page 61,11.3.2 建立风险条目清单,2023/3/6,辽宁工程技术大学 软件学院,62,图11.2 风险和管理的考虑,11.3.3 风险评估,在风险分析过程中，对风险进行评估时，可以建立一个四元组 ri，li，xi，yi 风险 风险出现的概率 风险损失 期望风险一种对风险评估的常用技术是定义风险的参照水准，对绝大多数软件项目来说，风险因素成本、性能、技术支持和进度就是典型的风险参照系统。即对成本超支、性能下降、技术支持困难，进度延迟都有一个导致项目终止的水平值。如果风险组合所产生的问题超出了一个或者多个参照水平值，就应该终止该项目。在项目分析中，风险水平参照值是由一系列的点构成的，每一个单独的点称为参照点或临界点。如果某风险落在临界点上，可以利用性能分析、成本分析、质量分析等来判断该项目是否继续。,2023/3/6,辽宁工程技术大学 软件学院,63,11.3.3 风险评估,2023/3/6,辽宁工程技术大学 软件学院,64,定义风险的参照水准：,11.3.3 风险评估,在实际工作中，参照点很少能构成一条平滑的曲线，多数情况下，它是一个区域，而且是一个易变的区域。因而在做风险评估时，尽量按以下步骤进行：定义项目的水平参照值找出每组 ri，li，xi，yi（风险，风险出现的概率，风险损失，期望风险）与每个水平参照值间的关系估计一组临界点以定义项目的终止区域估计风险组合将如何影响风险水平参照值,2023/3/6,辽宁工程技术大学 软件学院,65,11.3.4 估计损失的大小,2023/3/6,辽宁工程技术大学 软件学院,66,表11.1 风险评估表的例子,11.3.5 估计损失的概率,由最熟悉系统的人评估每个风险的发生概率，然后保留一份风险评估审核文件。使用Delphi法或者少数服从多数法。使用Delphi法时，必须要求每个人对每个风险进行独立的评估，然后讨论（口头或者书面的形式）每个评估的合理性，特别是最高和最低的那个。经过多轮的讨论，直到达成共识。使用“可能性标准”。首先让每个人用表示可能性的词语来选择风险的级别，如“非常可能”、“很可能”、“可能”、“或许”、“不太可能”、“不可能”和“根本不可能”，然后把可能性的评估转换为量化的评估。,2023/3/6,辽宁工程技术大学 软件学院,67,估计损失的概率比评估损失大小更具有主观性。提高主观评估的准确度方法有：,思 考,Page 68,风险评估的方法？,2风险评估的方法,（1）定性风险评估定性风险评估主要是针对风险概率及后果进行定性的评估。历史资料法是应用历史数据进行评估的方法，通过同类历史项目的风险发生情况，对项目进行估算。概率分布法是按照理论或主观调整后的概率进行评估的一种方法。风险后果估计法是指对风险事件后果进行定性的评估，按其特点划分为相对的等级，形成一种风险评价矩阵，并赋予一定的权值来定性地衡量风险大小。,Page 69,风险后果估计法,表1 表2风险发生概率的定性等级 风险后果影响的定性等级,Page 70,表3 风险评估指数矩阵实例,Page 71,（2）定量风险评估,定量风险分析过程的目标是量化分析每一个风险的概率及其对项目目标造成的后果。定量风险评估主要包括盈亏平衡分析、决策树分析、模拟法等方法。一般，在定性风险分析之后就可以进行定量风险分析。,Page 72,盈亏平衡分析,盈亏平衡分析又称为量本利分析或者损益平衡分析。它是根据软件项目在正常生产年份的产品产量或销售量、成本费用、产品销售单价和销售税金等数据，计算和分析产量、成本和盈利三者之间的关系，从中找出它们的规律，并确定项目成本和收益相等时的盈亏平衡点的一种分析方法，即盈亏平衡分析就是要确定项目的盈亏平衡点。盈亏平衡点越低，项目盈利的机会就越大，亏损的风险就越小。,Page 73,决策树分析,决策树分析法提供项目所有可供选择的行动方案以及行动方案之间的关系、行动方案的后果以及发生的概率，为项目经理提供选择最佳方案的依据。决策树分析采用损益期望值（EMV）作为决策树的一种计算值，它是根据风险发生的概率计算出一种期望的损益。,Page 74,决策树分析实例已知条件,条件：计划实施成功概率为70%；失败的概率为30%。回报若成功：回报有以下两种可能性高性能回报outcome=550000，概率为30%低性能回报outcome=-100000，概率为70%若失败：概率为30%回报outcome=-200000，概率为30%问题：根据条件画出决策树,Page 75,决策树分析实例画决策树,Page 76,开始,决策树分析实例计算EMV,Page 77,2 不实施：,1.1 成功：P=70%,1.1.1 高性能回报：P=30%，outcome=550000,1 实施：,1.2 失败：P=30%，outcome=200000,1.1.2 低性能回报：P=70%，outcome=100000,计算逆推,开始,1,2,1.1,1.2,1.1.2,1.1.1,EMV=55000030%=165000,EMV=10000070%=70000,EMV=165000+(70000)70%=665000,EMV=20000030%=60000,EMV=665000+(60000)=6500,EMV=0,决策树分析实例分析,实施计算损益期望值EMV成功：EMV=55000030%+(-100000)70%70%=66500失败：EMV=-20000030%=-60000；结论实施后：EMV=66500+(-60000)=6500不实施：EMV=0通过比较，可以决策，应该实施这个计划。,Page 78,模拟法,模拟法是运用概率论及数理统计方法来预测和研究各种不确定因素对软件项目投资价值指标影响的一种定量分析。通过概率分析，可以对项目的风险情况做出比较准确的判断。,Page 79,导读,Page 80,风险管理的第三步,风险控制,11.4 软件项目风险控制,1风险规划风险规划是针对风险分析的结果，为提高实现项目目标的机会并降低风险的负面影响而制定风险应对策略和应对措施的过程。即通过制定一系列的行动和策略来对付、减少以至于消灭风险事件。风险规划的主要策略是规避风险、转移风险、损失控制以及风险自留。,Page 81,（1）规避风险,规避风险就是对可能发生的风险尽可能地规避，可以采取主动放弃或拒绝使用导致风险的方案来规避风险，这样可以直接消除风险损失。规避风险具有简单、易行、全面、彻底的优点，能将风险的发生概率保持为零，因为已经将风险的起因消除了，从而保证了项目的安全运行。,Page 82,规避风险策略应用场合及问题,规避风险策略应用场合对风险有足够认识，而且风险发生概率极高、风险后果影响很严重的时候；当其他风险策略不理想的时候；规避风险策略应用问题 并不是所有的风险都可以采取规避策略，如地震或洪灾等风险是无法回避的；由于规避风险只是在特定范围内及特定的角度上才有效，因此，避免了某种风险，有可能产生另一种新的风险。例如，避免采用新的技术，可能导致开发出来的产品技术落后等。,Page 83,（2）转移风险,转移风险是指一些单位或个人为避免承担风险损失，而有意识地将损失或与损失有关的财务后果转嫁给另外的单位或个人去承担。例如：将有风险的软件项目分包给其他分包商通过免责合同等开脱手段说明不对后果负责转移风险有采购和投保两类策略。,Page 84,采购,采购是指通过采购或外包来转移风险，它常常是针对某些种类风险的有效对策。例如：如果采用某种新技术有一定的风险，就可以通过与有该技术经验的组织签定合同来减缓风险。通过采购来转移风险往往是将一种风险置换成了另一种风险。例如：如果与销售商制定了固定价格的合同，可以减缓成本风险，但如果销售商不能够顺利销售，则又会造成项目时间进程受延误的风险；同理，将技术风险转嫁给销售商又会造成难以接受的成本风险。,Page 85,投保,投保也是一种转移风险的策略，保险或类似保险的操作（如证券投资）常常对一些风险类别是很有效的。在不同的应用领域，险种的类别和险种的成本也相应不同。,Page 86,（3）损失控制,损失控制是指在风险事件发生前消除风险可能发生的根源并减少风险事件的概率，在风险事件发生后减少损失的程度。损失控制的基本点是消除风险因素和减少风险损失。损失控制根据目的不同，分为损失预防损失抑制,Page 87,损失预防,损失预防是指损失发生前为了消除或减少可能引起风险的各种因素而采取的各种具体措施。制定预防性计划，也就是设法消除或减少各种风险因素，以降低风险发生的概率。预防性计划包括针对一个确认的风险事件的预防方法以及风险发生后的应对步骤。,Page 88,损失抑制,损失抑制（也称风险减缓）是指风险发生时或风险发生后为了缩小损失幅度所采用的各项措施。例如，对程序进行备份。,Page 89,（4）自留风险,自留风险又称承担风险，它是一种由项目组织自己承担风险事件所致损失的措施。积极的承担：一般是经过合理判断和谨慎研究后决定承担风险，如制定预防性计划来防备风险事件的发生；消极的承担：不知道风险因素的存在而承担下来，如某些工程运营超支则接受低于预期的利润，或者由于疏忽而承担的风险。,Page 90,2风险控制,风险控制就是通过对风险的规划，和对项目全过程的控制，保证风险管理能达到预期的目标。它是项目实施过程的一个重要工作，其目的是核对风险管理的策略和实施的实际效果是否与预见相同，同时获取反馈信息，改善风险计划。,Page 91,风险控制实例（1）,Page 92,风险控制实例（2）,Page 93,风险控制实例（3）,Page 94,11.5 风险管理策略,11.5.1 风险管理策略的基本概念11.5.2 风险管理策略的措施,2023/3/6,辽宁工程技术大学 软件学院,95,11.5.1 风险管理策略的基本概念,在项目开发中规划风险管理，尽量避免风险。指定风险管理者，监控风险因素。建立风险条目清单及风险管理计划。建立风险反馈机制和渠道。,2023/3/6,辽宁工程技术大学 软件学院,96,风险管理策略：就是在风险分析活动中，辅助项目组处理项目风险的策略。IT项目开发是一个高风险的活动，如果项目采取积极的风险管理策略，就可以避免和降低许多风险，而这些风险如果没有处理好，则可能会使项目处于瘫痪状态。一个较好风险管理策略应满足以下要求：,11.5.2 风险管理策略的措施,规避。通过变更项目计划，消除风险或者风险的触发条件，使目标免受风险事件发生的影响。这是一种事前的风险应对策略。例如，采用更加熟悉的工作方法，澄清不明确的需求，增加资源和时间，减少项目的工作范围，尽量避免与不熟悉的分包商签约等。转移。这种策略不消除风险，而是将项目风险的结果连同应对的权力转移给第三方(第三方应该知道这是风险并具有承受能力)。这也是一种事前的应对策略，例如，签订不同种类的合同，或者签定补偿性合同等。弱化。将风险事件的概率或者结果降低到一个可以接受的程度，当然降低风险发生的概率更为有效。例如，选择更简单的流程，进行更多的实验，建造原型系统，增加备份设计等。接受。指不改变项目计划或者没有合适的策略能有效地在事前应对风险，而考虑风险发生后如何应对的问题。例如，制定应急计划，进行应急储备和监控，然后，等待风险事件发生时再随机应变。,2023/3/6,辽宁工程技术大学 软件学院,97,应对风险的程序和方法主要有以下4种：,11.6 风险驾驭和监控,11.6.1 风险的驾驭与监控原理11.6.2 风险驾驭和监控方法,2023/3/6,辽宁工程技术大学 软件学院,98,11.6.1 风险的驾驭与监控原理（1）,风险的驾驭与监控主要靠管理者的经验来实施，它是利用项目管理方法及其他某些技术，如原型化、软件心理学、可靠性等措施来设法避免或者转移风险。风险驾驭与监控的主要目的有：监视风险的状况，如风险是否已经发生、仍然存在还是已经消失检查风险的对策是否有效，监控风险机制是否仍在运行不断识别新的风险并制定对策风险的驾驭和监控活动如图11.4所示。风险的驾驭与监控活动要写入风险驾驭与监控计划中。,2023/3/6,辽宁工程技术大学 软件学院,99,11.6.1 风险的驾驭与监控原理（2）,2023/3/6,辽宁工程技术大学 软件学院,100,图11.4 风险的驾驭与监控活动,11.6.2 风险驾驭和监控方法（1）,风险审计：专人检查风险监控机制是否得到执行，并定期做风险审核，在大的阶段点重新识别风险并进行分析，对没有预计到的风险制定新的应对计划。偏差分析：与基准计划比较，分析成本和时间上的偏差。例如，未能按期完工、超出预算等都是潜在的问题。技术指标：比较原定技术指标与实际技术指标之间的差异。例如，测试未能达到性能要求，缺陷数大大超过预期等。,2023/3/6,辽宁工程技术大学 软件学院,101,常用的风险驾驭与监控方法有：,11.6.2 风险驾驭和监控方法（2）,与在职人员协商，确定流动原因在项目开始前，把缓解这些流动原因的工作列入风险驾驭计划项目开始时，要作好人员流动的思想准备，并采取一些措施确保人员一旦离开时，项目仍能继续制定文档标准，并建立一种机制，保证文档及时产生对所有工作进行细微详审，使更多人员能够按计划进度完成自己的工作对每个关键性技术人员培养后备人员,2023/3/6,辽宁工程技术大学 软件学院,102,例如：某项目组开发人员的离职概率是0.7，离职后会对项目造成一定的影响，则该风险驾驭和监控的策略如下：,本章小结,2023/3/6,辽宁工程技术大学 软件学院,103,风险估计风险估计的基本概念风险评估风险评价风险评价的依据风险评价的主要活动风险管理策略和驾驭风险管理策略的措施风险的驾驭与监控,风险与风险管理风险的基本概念项目风险风险分类、风险成本项目风险管理风险管理组织风险管理组织的作用项目风险管理组织的组成风险识别风险识别方法风险识别注意事项,作业：,2023/3/6,辽宁工程技术大学 软件学院,104,软件开发过程中常见风险有哪些？如何规避风险？,